La vàlvula va estar oberta 4 hores abans de detectar-ne l’accés no autoritzat. Ha passat a Noruega i per una contrasenya feble.

Els ciberatacs poden fer molta por per les seves conseqüències econòmiques i de reputació o perquè són capaços de paralitzar empreses, institucions, cadenes de subministrament, aeroports, etc. Però quan aquests incidents tenen efectes ‘físics’ són fins i tot més aterridors. 

A l’abril pirates informàtics no identificats van aconseguir vulnerar els sistemes de control d’una presa noruega, i van provocar l’obertura total de la vàlvula d’aigua. 

En concret, l’incident va ocórrer a la presa del llac Risavatnet, situada a prop de la ciutat de Svelgen, al sud-oest de Noruega. La vàlvula va romandre oberta quatre hores fins que no es va detectar l’activitat no autoritzada. 

Va ser la propietària de la presa, Breivika Eiendom, que ho va descobrir el 7 d’abril passat. Tres dies després es va alertar les autoritats del país, la NSM (Autoritat de Seguretat Nacional), la NVE (Direcció Noruega de Recursos Hídrics i Energia) i la Kripos (una agència especial de la Policia de Noruega), i se’n va obrir una investigació. 

Se sospita que la bretxa es va produir perquè el tauler de control de la vàlvula, que era accessible via web, estava protegit per una contrasenya feble. D’aquesta manera, els atacants van poder eludir els controls d’autenticació i obtenir accés directe al conjunt de la tecnologia operativa (TO), segons ha compartit el responsable tècnic de Breivika, Bjarte Steinhovden. 

Poca pèrdua

Afortunadament, el ciberatac no va suposar cap perill perquè el cabal amb prou feines va superar el mínim requerit per la presa, segons ha informat el mitjà d’informació energètica Energiteknikk. 

En obrir-se, la vàlvula va alliberar 497 litres per segon addicionals, encara que les autoritats van confirmar que la llera del riu era capaç de suportar un volum molt més gran, de fins a 20.000 litres per segon. 

Encara no s’ha atribuït oficialment l’atac a cap grup específic, els investigadors no descarten que al darrere hi pugui haver alguna organització hacktivista o fins i tot actors amb motivacions geopolítiques, atès que el sector energètic i d’infraestructures crítiques a Europa s’ha convertit en un objectiu habitual en els darrers anys. 

El fet que l’accés es fes a través d’una interfície web amb protecció insuficient reforça la teoria d’un atac d’oportunitat més que no pas una operació sofisticada, encara que amb conseqüències potencialment greus.

Altres atacs amb efectes físics

No és la primera vegada que un ciberatac aconsegueix provocar danys o alteracions físiques a instal·lacions industrials. El 2021, un atacant va intentar enverinar el subministrament d’aigua a Oldsmar (Florida) després d’accedir remotament al sistema SCADA d’una planta potabilitzadora, i intentar augmentar els nivells d’hidròxid de sodi a l’aigua. 

El 2015 i 2016, atacs atribuïts a grups russos van tombar la xarxa elèctrica a Ucraïna, i van deixar milers de persones sense subministrament. Aquests incidents evidencien una tendència preocupant: la progressiva digitalització d’infraestructures crítiques també les torna més vulnerables, sobretot si no s’apliquen mínims de ciberseguretat com ara contrasenyes robustes o autenticació multifactor.